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(57) Abstract 

Hie invention concerns a method for 
protecting an electronic cryptographic set 
with secret key against cryptanalytical at- 
tack, which consists in dividing a) the stan- 
dard cryptographic computation process into 
several separate parallel processing stages 
using partial intermediate results distinct 
from those of standard computation; and b) 
reconstructing the final value from the sep- 
arate intermediate partial results. The in- 
vention is useful for electronic sets such as 
incorporated systems. 

(57) Abrege* 

L* invention concerne un proc€de* de 
securisation d'un ensemble electronique de 
calcul cryptographique a cle" secrete con- 
tre les attaques physiques. L*on divise a) 
Ie processus de calcul cryptographique clas- 
sique en plusieurs parties de processus dis- 
tinctes en parallele mettant en oeuvre des 
resultats partiels intermddiaires distincts de ceux du calcul classique et b) on reconstitue la valeur finale du calcul cryptographique classique 
a partir des resultats partiels intermddiaires distincts. Application d'ensembles llectroniques tels que les systemes embarques. 
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PROCEDE DE SECURISATION D T UN ENSEMBLE ELECTRONIQUE 
DE CRYPTOGRAPHIE A CLE SECRETE 
CONTRE LES ATTAQUES PAR ANALYSE PHYSIQUE 

La presente invention concerne un proc6d6 de 
securisation d'un ensemble electronique mettant en ceuvre 
un algorithme cryptographique qui utilise une cle secrete. 
Plus precisement, le procede vise a realiser une version 
de 1' algorithme qui ne soit pas vulnerable face ct un 
certain type d' attaques physiques - dites Differential 
Power Analysis ou High-Order Differential Power Analysis - 
qui cherchent a obtenir des informations sur la cl§ 
secrete & partir de 1' etude de la consommation electrique 
de 1' ensemble electronique au cours de 1' execution du 
calcul. 

Les algorithmes cryptographiques consid6res ici 
utilisent une cle secrete pour calculer une information de 
sortie en fonction d' une information d' entree ; il peut 
s'agir d'une operation de chiffrement, de d6chif f rement ou 
de signature ou de verification de signature, ou 
d 1 authentif ication ou de non-repudiation, lis sont 
construits de mani£re a ce qu' un attaquant, connaissant 
les entries et les sorties, ne puisse en pratique d6duire 
aucune information sur la cle secrete elle-meme. 

On s'interesse done & une classe plus large que 
celle traditionnellement designee par 1' expression 
algorithmes £ cle secrete ou algorithmes sym6triques. En 
particulier, tout ce qui est decrit dans la presente 
demande de brevet s' applique egalement aux algorithmes 
dits a cl6 publique ou algorithmes asymStriques, qui 
comportent en fait deux cles : 1'une publique, et 1' autre, 
privee, non divulguee, cette derniere etant celle visee 
par les attaques d^crites ci-dessous. 
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Les attaques de type Analyse de Puissance 
Electrique, Power Analysis en langage anglo-saxon, 
developp6es par Paul Kocher et Cryptographic Research 
(Confer document Introduction to Differential Power 
5 Analysis and related Attacks by Paul Kocher, Joshua Jaffe, 
and Benjamin Jun, Cryptography Research, 870 Market St., 
Suite 1008, San Francisco, CA 94102, Edition du document 
HTML & l'adresse URL : 

http : //www . cryptography . com/ dpa/ technical/ index . html , 

10 introduit dans la presente demande A titre de reference) 
partent de la constatation qu'en realite l'attaquant peut 
acqu6rir des informations, autres que la simple donn6e des 
entrees et des sorties, lors de 1' execution du calcul, 
comme par exemple la consommation electrique du 

15 microcontrdleur ou le rayonnement electromagnetique 6mis. 
par le circuit. 

L f analyse d'energie electrique dif f erentielle, 
Differential Power Analysis en langage anglo-saxon, en 
abrege DPA, est une attaque permettant d'obtenir des 

20 informations sur la cle secrete contenue dans 1' ensemble 
electronique, en effectuant une analyse statistique des 
enregistrements de consommation electrique effectu6s sur 
un grand nombre de calculs avec cette meme cle. 

On consid^re, a titre d' exemple non limitatif, le 

25 cas de l'algorithme DES (Data Encryption Standard), dont 
on peut trouver une description dans l'un des documents 
suivants ; 

• FIPS PUB 46-2, Data Encryption Standard, 1994; 

• FIPS PUB 74, Guidelines for Implementing and Using the 
30 NBS Data Encryption Standard, 1981; 

• ANSI X3.92, American National Standard, Data Encryption 
Algorithm, 1981; 
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• ISO/IEC 8731:1987, Banking - Approved Algorithms for 
Message Authentication - Part 1: Data Encryption 
Al gori thm (DEA) . 

ou encore dans l'ouvrage suivant : 

■ Bruce Schneier, Applied Cryptography, 2 dme edition, John 

Wiley & Sons, 1996, page 270. 
Les documents precit6s sont introduits dans la pr6sente 
demande a titre de reference. 

L' algorithme DES se deroule en 16 etapes appelees 
tours, confer figure la. Dans chacun des * 16 tours, une 
transformation F est effectuee sur 32 bits. Cette 
transformation F utilise huit transformations non 
lin6aires de 6 bits sur 4 bits, qui sont codees chacune 
dans une table appelee bolte-S, confer figure lb, od les 
boltes S sont notees Si, S 2 , .../ S e . 

L'attaque DPA sur le DES peut etre mise en oeuvre 
de la maniSre suivante : 

• lere 6tape : On fait des mesures de consommation sur le 
premier tour, ceci pour 1000 calculs de DES. On note 
E[l], E[1000] les valeurs d' entr6e de ces 1000 
calculs. On note C[l] , C[1000] les 1000 courbes 
correspondantes de consommation electrique mesurees lors 
de ces calculs. On calcule egalement la courbe moyenne 
CM des 1000 courbes de consommation. 

• 26me etape : On s'interesse, par exemple, au premier bit 
de sortie de la premiere boite-S lors du premier tour. 
Notons b la valeur de ce bit. II est facile de voir que 
i> ne depend que de 6 bits de la cle secrete. L'attaquant 
fait une hypothese sur les 6 bits concernes. II calcule 
- & partir de ces 6 bits et des E[i] - les valeurs 
th^oriques attendues pour b. Cela permet de s6parer les 
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1000 entrees E[l] , E[1000] en deux categories : 

celles qui donnent b=0, et celles qui donnent b=l . 

• 3£me etape : On calcule maintenant la moyenne CM' des 
courbes correspondant & des entries de la premiere 

5 categorie, c'est-a-dire pour lesquelles b=0. Si CM et 

CM' presentent une difference notable, on considere que 
les valeurs retenues pour les 6 bits de c!6 6taient les 
bonnes- Si CM et CM' ne presentent pas de difference 
sensible, au sens statistique, c' est-&-dire pas de 
10 difference nettement superieure a 1'ecart type du bruit 

mesure, on recommence la 2§me etape avec un autre choix 
pour les 6 bits . 

• 4 erne etape : On repete les etapes 2 et 3 avec un bit 
cible b issu de la deuxieme boite-S, puis de la 

15 troisi^me boite-S, jusqu'a la huiti^me boite-S. On 

obtient done finalement 48 bits de la cl6 secrete. 

• 5£me etape : Les 8 bits restants peuvent etre trouv6s 
par recherche exhaustive, 

Cette attaque ne necessite aucune connaissance sur 
20 la consommation electrique individuelle de chaque 
instruction, ni sur la position dans le -temps de chacune 
de ces instructions, Elle s' applique de la meme manidre si 
on suppose que l'attaquant connait des sorties de 
1' algorithme et les courbes de consommation 
25 correspondantes . Elle repose uniquement sur 1' hypo these 
fondamentale selon laquelle : 

Hypothdse fondamentale : II existe une variable 
intermedial re, apparaissant dans le cours du calcul de 
1' algorithme, telle que la connaissance de quelques bits 
30 de cie, en pratique moins de 32 bits, permet de decider si 
deux entries, respectivement deux sorties, donnent ou non 
la meme valeur pour cette variable. 
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Tous les algorithmes utilisant des boites-S, tels le DES, 
sont potentiellement vulnerables a la DPA, car les modes 
de realisation usuels restent en general dans le cadre de 
1'hypothese mentionnee ci-dessus. 
5 Les attaques dites par Analyse d f 6nergie 

electrique de haut niveau, High-Order Differential Power 
Analysis en langage anglo-saxon, en abrege HO-DPA, sont 
une generalisation de l'attaque DPA decrite pr6cedemment . 
Elles peuvent utiliser plusieurs sources d' information 

10 differentes, outre la consommation elles peuvent mettre en 
jeu les mesures de rayonnement electromagnetique, de 
temperature, etc. et mettre en oeuvre des traitements 
statistiques plus sophistiques que la simple notion de 
moyenne, des variables intermediaires (generalisant le bit 

15 i> defini ci-dessus) moins elementaires . Neanmoins, elles 
reposent exactement sur la meme hypothese fondamentale que 
la DPA. 

Le proc6de, objet de la presente invention, a pour 
ob jet la suppression des risques d' attaques DPA ou HO-DPA 

20 d 1 ensembles ou syst^mes electroniques de cryptographie ct 
cle secrete ou privee. 

Un autre objet de la presente invention est en 
consequence une modification du processus de calcul 
cryptographique mis en oeuvre par les systemes 

25 electroniques de cryptographie proteges de maniere que 
1'hypothese fondamentale pr6cit6e ne soit plus verifiee, & 
savoir qu f aucune variable intermediaire ne depend de la 
consommation d T un sous-ensemble aisement accessible de la 
cle secrete ou privee, les attaques de type DPA ou HO-DPA 

30 etant ainsi rendues inop6rantes . 

Le precede de securisation d'un ensemble 
electronique mettant en oeuvre un processus de calcul 
cryptographique classique qui utilise une cle secrete, 



WO 00/46953 PCT/FROO/00258 

6 

objet de la pr6sente invention, est remarquable en ce que 
I'on divise le processus de calcul cryptographique en 
plusieurs parties de calcul distinctes conduites 
paralldlement et mettant en ceuvre des r6sultats partiels 
5 intermediates distincts de ceux du calCul cryptographique 
classique et que l'on reconstitue la valeur finale, 
obtenue par le calcul classique en l 1 absence de division, 
& partir des r6sultats partiels intermediaires distincts. 
Par processus de calcul cryptographique classique, on 

10 entend tout processus de calcul sequentiel ou successif 
permettant d'obtenir des valeurs chif frees, d6chif frees, 
des valeurs de signature, de verification de signature, 
d 1 authentif ication et de non-repudiation. Un tel procede 
permet d'inhiber les attaques de type DP A ou HO-DPA contre 

15 les ensembles ou syst^mes embarques munis de fonctions de 
calcul cryptographique tels que les cartes & 
microcalculateurs dediees a des fonctions de mon^tique 
§lectronique, carte bancaire, carte de controle d f acc6s ou 
analogues . 

20 II sera mieux compris a la lecture de la 

description et & 1 ' observation des dessins ci-apr6s dans 
lesquels, outre les figures la et lb relatives £ l'art 
anterieur en reference au processus de chiffrement/ 
d6chif f rement DES pour "Data Encryption System" en langage 

25 anglo-saxon : 

- la figure 2 repr^sente un organigramme general 
illustratif du proced6 objet de l 1 invention ; 

la figure 3a represente, de manidre 
illustrative, un mode de mise en ceuvre non limitatif du 
30 proc6d6 objet de la presente invention ; 

- la figure 3b represente, & titre d f exemple 
illustratif, un organigramme d'une mise en ceuvre 
particuli6re du proced6 objet de 1' invention appliqu6 k 
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une transformation non lineaire utilisee dans un processus 
de calcul cryptographique classique tel que le DES ; 

- la figure 3c represente une variante de mise en 
ceuvre du precede objet de 1 1 invention tel qu'illustre en 

5 figure 2 ; 

- la figure 3d represente, a titre d'exemple 
illustratif, un organigramme d f une autre mise en ceuvre 
particuli^re du precede objet de I 1 invention, k partir 
d f une transformation bijective secrete, applique a une 

10 transformation non lineaire utilisee dans un processus de 
calcul cryptographique classique tel que le DES ; 

- la figure 3e represente, a titre d'exemple 
illustratif, un organigramme d'une autre mise en oeuvre 
particuliere du procede objet de 1 T invention, k partir de 

15 fonctions polynomiales, applique a une transformation non 
lineaire utilisee dans un processus de calcul 
cryptographique classique tel que le DES . 

Une description plus detaillee du procede de 
securisation d'un ensemble electronique mettant en oeuvre 

20 un processus de calcul cryptographique classique qui 
utilise une cle secrete, objet de la presente invention, 
sera maintenant donnee en liaison avec les figures 
precitees. 

D'une maniere generale, le procede objet de la 
25 presente invention consiste, pour un processus de calcul 
cryptographique classique qui utilise une cle secrete Ks, 
ou privee, ci modifier le processus de calcul 
cryptographique de manidre que l'hypoth^se fondamentale 
precit§e ne soit plus verifiee, aucune variable 
30 intermediaire calculee ne dependant plus, conformement au 
procede objet de la presente invention, de la connaissance 
d'un sous-ensemble aisement accessible de la cle secrete. 
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Dans ce but, et conformement au proced6 objet de 
la presente invention tel que represents en figure 2, a) 
on divise le processus de calcul cryptographique classique 
en plusieurs parties ^ de processus de calcul PPCi k PPC* 
5 distinctes conduites parall61ement, puis b) on reconstitue 
la valeur finale V correspondant a celle obtenue par le 
calcul cryptographique classique, en l f absence de 
division, k partir des resultats partiels intermediaires 
distincts Vi k v k obtenus par la mise en oeuvre des parties 

10 de processus de calcul distinctes PPCi k PPCk precitees. 

Ainsi, les parties de processus de calcul sont 
independantes mais les variables ou resultats 
intermediaires partiels sont lies. 

On realise cette division en remplacant chaque 

15 variable v intermediaire, intervenant dans le cours du 
calcul et dependant des donn6es d' entr6e (ou de sortie), 
par k variables Vj, v 2 , . v*, telles que v x , v 2 , .../ et 
vjt permettent, au besoin, de reconstituer v. Plus 
precisement, cela signifie qu' il existe une fonction f 

20 telle que v=f (v u v 2 , v k ) . On indique en outre que f 

satisfait, de preference, la condition suivante : 
Condition n°l : 

Soit i un indice compris, au sens large, entre 1 et k. La 
connaissance d' une valeur v ne permet jamais en pratique 
25 de dSduire des informations sur 1' ensemble des valeurs v± 
telles qu'il existe un (k-l)-uplet (v lr Vi_ 2 , v i+1 , 

v k ) satisfaisant 1' equation f(v x , v k )=v / 

Exemple n°l : 

Si on prend comme fonction f(v x , v k ) = v x 0 v 2 ® . .. 

30 0 v k , ovi (B designe la fonction "OU-exclusif " bit k bit, 
la condition n°l est realisee de mani^re manifeste, car, 
pour tout indice i compris entre 1 et k, 1' ensemble 
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consid6r§ des valeurs v s contient toutes les valeurs 
possibles, et ne depend done pas de v. 
Exemple n°2 : 

Si on consid^re une variable v a valeurs dans le groupe 
5 multiplicatif de Z/nZ, e'est-a-dire 1' ensemble des entiers 
modulo n qui possedent un inverse/ egalement modulo n, on 
peut prendre comme fonction f(v lr v k ) = Vj • v 2 • . . . • 

v k mod n, ou les nouvelles variables v x , \r 2 , v k sent 

Egalement k valeurs dans le groupe multiplicatif de Z/nZ. 
10 La condition n°l est aussi realisee de maniere manifeste, 
car, pour tout indice i compris entre 1 et k, 1' ensemble 
considere des valeurs Vi contient toutes les valeurs 
possibles, et ne depend done pas de v. 

Conformement a un aspect remarquable du proc§de objet de 
15 1' invention, on effectue alors une "traduction" de 
l'algorithme en remplagant chaque variable interm6diaire v 
dependant des donnees d' entree (ou de sortie) par les k 
variables v u v 2 , ... , v*. Pour garantir la securite 
maximale de 1' algoritjime modifie sous sa nouvelle forme, 
20 on impose la condition supplementaire suivante sur la 
fonction f : 

Condition n°2 : 

La fonction f est telle que les transformations a 
25 ef f ectuer sur v lt v 2 , ou v k au cours du calcul, & la 

place des transformations effectuees habituellement sur v, 
peuvent etre executees sans avoir a recalculer v. 
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Premier exemple : le PES 

Un premier exemple concernant la securisation du DES sera 
d6crit en liaison avec la figure 3a. 

Dans cet exemple, on consid6re le cas p'articulier du DES. 
On choisit ici une division de chaque variable v 
intermediaire, intervenant dans le cours du calcul et 
dependant des donn6es d' entree, ou de sortie, en deux 
variables Vj et v 2/ c'est-&-dire que l'on prend Jc-2. On 
consid^re la fonction £(v if v 2 ) = v - v x Q v 2 de 1' exemple 
n°l ci-dessus, qui satisfait par construction la condition 
n°l. Par construction de 1' algorithme, on constate 
facilement que les transformations qu'il effectue sur v 
peuvent toujours entrer dans l'une des cinq categories 
suivantes : 

• permutation des bits de v / 

• expansion des bits, de v ; 

• OU-exclusif de v avec une autre variable v r du meme 
type ; 

• OU-exclusif de v avec une variable c dependant 
uniquement de la cle ou d'une sous-cle 

• transformation non lineaire de v par une boite-S. 

Les deux premieres categories correspondent a des 
transformations lineaires sur les bits de la variable v. 
Pour celles-ci, la cbndition n°2 est done tres facile & 
verifier : il suffit, a la place de la transformation 
effectuee habituellement sur v, d'effectuer la permutation 
ou 1' expansion sur v 2 , puis sur v 2f et la relation f(v lf 
v 2 )= v qui etait vraie avant la transformation reste vraie 
6galement apr6s . 
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De meme, dans le troisi^me cas, il suffit de remplacer le 
calcul de v" - v Q v' par celui de v", « v x B v' x et 
de v" 2 =* v 2 (B v' 2 . Les relations f(v x , v 2 ) = v et f(v' t , 
v'z)- v' donnent bien f(v" x , ^''2)= v" , et la condition 
n°2 est encore verifiee. 

En ce qui concerne le OU-exclusif de v avec une variable c 
dependant uniquement de la cle ou d'une sous-cl6, la 
condition n°2 est aussi tres facile a satisfaire : il 
suffit de remplacer le calcul de v @ c par v x & c, ou v 2 <B 
c, ce qui assure la condition n°2. 

Enfin, a la place de la transformation non-lin6aire 
v'=S(\r), donnee sous la forme d' une bolte-S, qui dans cet 
exemple admet des entrees de 6 bits et donne des sorties 
de 4 bits, on realise la transformation v' 2 ;-S' (v x ,v 2 ) 

au moyen de deux nouvelles boites S, chacune 6tant cette 
fois de 12 bits sur 4 bits. Pour garantir 1' 6galite f(v'i, 
v' 2 )= v' , il suffit de' choisir : 

v' 2 ) - S'(v x , v 2 ) - ( Afv,, v 2 ) , S(ViQ v 2 ) ® A(v x , v 2 ) ) 

c'est-it-dire V 2 = A(v x , v 2 ) et v' 2 - s (v 2 @ v 2 ) Q A(v x , v 2 ) 

ou A designe une transformation al£atoire et secrete de 12 
bits vers 4 bits. La premiere (nouvelle) boite-S 
correspond & la table de la transformation (v x , v 2 ) —> 
A(v x , v 2 ) qui ci (vi, v 2 ) associe A(v x , v 2 ) et la seconde 
(nouvelle) boite-S correspond & la table de la 
transformation (v lr v 2 ) -* S (v x @ v 2 ) Q A(\r x , v 2 ) qui & (v x , 
v 2 ) associe S (v x ® v 2 ) (B A(v x , v 2 ) . La presence de la 
fonction aleatoire A permet de garantir la condition n°l. 
L' utilisation de tables permet par ailleurs d'6viter 
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d' avoir & calculer Vi@ v 2 et, par la, permet de satisfaire 
la condition n°2. 

Les tables de transformation ou de conversion peuvent Stre 
m§moris6es dans une m6moire ROM de la carte & 
5 microcalculateur lorsque l 1 ensemble £lectronique est 
constitu6 par une carte & microcalculateur. 

Ainsi, pour une etape de calcul du type transformation non 
lineaire mise en ceuvre par un processus de calcul 
cryptographique classique tel que le DES , la division, 

10. ainsi que represents en figure 3b, peut etre effectuee en 
k parties. Pour un processus de calcul cryptographique 
classique utilisant des transformations non lineaires de 
m bits sur n bits, decrites par des tables de conversion 
dans lesquelles les n bits de sortie de la transformation 

15 sont lus a une adresse fonction des m bits d 1 entree, on 
remplace chaque transformation non lineaire appliqu6e & 
une variable intermediaire jouant le role de variable 
d'entr<§e E du processus de calcul cryptographique 
classique, en l 1 absence de division, par une 

20 transformation non lineaire partielle de km bits sur kn 
bits appliquee a 1' ensemble des variables intermediaires 
partielles Vi a v k . Selon un aspect * particulierement 
remarquable du precede objet de !• invention, cette 
transformation non lineaire partielle est decrite et 

25 realisee par k tables de conversion partielle dans 
lesquelles les n bits de sortie vS ou v f 2 ... ou v f k de la 
transformation sont lus a une adresse fonction des km bits 
d' entree . 

Dans le premier exemple precite et en relation avec la 
30 figure 3b, on indique que k=2, n=4 et m=6. 
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Variante n°l : 

Pour des raisons d' encombrement de la ROM, on peut tout & 
fait utiliser la meme fonction aleatoire A pour chacune 
des huit boites S de la description classique du DES, ce 
5 qui permet de n' avoir que neuf nouvelles boites-S k 
stocker au lieu de seize. 

Une variante, variante n°2, sera decrite en liaison avec 
la figure 3c. 

10 

Variante n°2 : 

Afin de r6duire la taille de la. ROM n^cessaire pour 
stocker les boites S, on peut egalement utiliser la 
methode suivante : a la place de chaque transformation 

15 non-lineaire v'=S(v) de 1' implementation initiale, donnee 
sous la forme d'une *fooite-S (qui dans l'exemple du DES 
admet des entrees de 6 bits et donne des sorties de 4 
bits), on realise la transformation (V x ,v' 2 ) =>S' (v lf v 2 ) au 
moyen de deux boites S, chacune etant cette fois de 6 bits 

20 sur 4 bits. La mise en oeuvre initiale du calcul de v'=S(v) 
est remplacee par les deux calculs successifs suivants : 

• v 0 =<p(Vi(B v 2 ) 

• (v' x , v' 2 ) « S' (Vi, \r 2 ) - ( A(v 0 ) , S(<p^(^o)) ® A(v 0 ) ) 
25 c'est-&-dire v'i - A(v 0 ) , v' 2 - S (<p~ l (v 0 ) ) & A(v 0 ) 

ou <p est une fonction bijective et secrete de 6 bits sur 
6 bits, et ou A designe une transformation alSatoire et 
secrete de 6 bits vers 4 bits. La premiere (nouvelle) 
boite-S correspond a la table de la transformation v 0 
30 A(v 0 ) qui a v 0 associe A(v 0 ) et la seconde (nouvelle) 
boite-S correspond k la table de la transformation v 0 -> S ( 
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<p~* (v 0 ) ) & A(v 0 ) qui a v 0 associe S (<p~ l (v 0 ) ) ® A(v 0 ) . Par 
construction, on a toujours 1'egalite f(v'i f v' 2 )= v' . La 
presence de la fonction aleatoire A permet de garantir la 
condition n°l. L' utilisation de tables permet d'Sviter 
5 d' avoir a calculer <p~ l (v 0 )= v x @ v 2 . 

Sur la figure 3d, on a represents une etape de calcul 
correspondante, de type transformation non lineaire mise 
en oeuvre dans le cadre du processus de calcul 

10 cryptographique classique tel que le DES, tel que modifie 
conformement au procede objet de I 1 invention selon la 
Variante n°2. Outre la division en k parties appliquee a 
la variable d 1 entree E, pour les transformations non 
lineaires de m bits sur n bits, decrites par des tables de 

15 conversion dans lesquelles les n bits de sortie sont lus a 
une adresse fonction des m bits d'entr6e, on remplace 
chaque transformation non lineaire appliquee a une 
variable intermediaire, jouant le role de variable 
d' entree E, du processus de calcul classique par une 

20 transformation non lineaire partielle de km bits sur kn 
bits appliquee sur l 1 ensemble des variables intermediates 
partielles Vi a v k . Cette transformation non lineaire 
partielle est decrite et realisee par k tables de 
conversion, chacune des entrees des tables de conversion 

25 recevant une valeur obtenue par application d'une fonction 
bijective secrete (pj a la fonction f (vi, v k ) des 

variables interm^diaires partielles suivant la relation (p 

j o f(v w v k ) , avec j € [l,k]. 

Selon un aspect particulierement remarquable du 
30 procede, objet de la presente invention, 1 1 application 
pr6citee q>j o f(v 1; v k ) est effectuee par evaluation 

directe d'une valeur resultante, laquelle, appliquee ci 
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1' entree de la table de conversion correspondante 1 & k, 
permet de lire n bits de sortie de la transformation v'i 
ou v' 2 ou ...v' k ci une adresse qui est fonction de ces m bits 
d' entr6e . 

5 De m§me que dans le premier exemple pr^cite, et en 
relation avec la figure 3d, on indique que pour la 
Variante n°2, k=2, m=6 et n=4 . 

En outre, et dans une version simplifiee, les fonctions 

bijectives q>i & cp k sont identiques. 

10 Pour que la condition n°2 soit satisfaite, il reste £ 
choisir la transformation bijective <p ou des fonctions 
bijectives q>i a (p k de telle sorte que le calcul de Vo^tplvi® 
v 2 ) puisse se faire sans avoir a recalculer vi& v 2 . Deux 
exemples de choix pour la fonction q> sont donnes ci- 

15 apres : 

Exemple 1 : Une bijection <p lineaire 

On choisit pour <p une fonction lineaire secrete et 
bijective de 6 bits sur 6 bits. Dans le cadre d'un tel 

20 choix, on considere 1' ensemble des valeurs sur 6 bits 
comme un espace vectoriel de dimension 6 sur le corps fini 
F a a deux elements. En pratique, choisir <p revient a 
choisir une matrice aleatoire et inversible de taille 6x6 
dont les coefficients valent 0 ou 1 . Avec ce choix de <p, 

25 il est facile de voir que la condition n°2 est satisfaite. 
En effet - pour calculer (p(v x @ v 2 ) - il suffit de calculer 
<p(vi), puis <p(v 2 ), et enfin de calculer le M OU-exclusif " 
des deux resultats obtenus. 
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Par exemple, la ma trice 
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est inversible. II 



lui correspond la bijection lineaire ^ de 6 bits sur 6 
bits d^finie par : 
5 <p(ui , u 2 , u 3 / u 4 , u 5 , u 6 ) = (u 2 (B u 2 ® u 4 , Ui (B u 2 & u 4 <B 
Us , u 2 (B u 3 <B u 5 , U! @ u 2 @ u 3 @ us , u 2 (B u 3 & u 4 @ u 5 , u 3 
® u 4 ® u 6 ) 

Si on note v^(v lfl , v u2 , v lf3 , v x , 4 , v x , 5 / v x , € ) et 
v 2 =(v 2 , x , v 2 , 2 , V2,j , v 2t4 , v 2 ,s , v 2 , 6 ) , pour calculer <p(v x ® 
10 v 2 ) , on calcule successivement : 

• <p(Vi) = (v U i ® v x , 2 @ v U4 , v*i,i ® v x , 2 <& v lr4 0 v x , 6 , v u2 0 

Vl,3 © Vi, S , 0 V U2 ® V lf3 m Vj, 5 , V x , 2 ® V X , 3 @ V le4 B 

V 2 ,5 , V X , 3 ^ ^1,4 0 Vl.o) f 

• <p(v 2 ) = (v 2 , x ® v 2 , 2 & v 2g4 , v 2 ,i ® v 2 , 2 ® v 2 , 4 ® v 2 , 6 , v 2 , 2 0 
15 v 2t3 m v 2 , 5 , v 2 , x 0 v 2 , 2 & v 2 , 3 B v 2f5 , v z , 2 ® v 2 , 3 Q v 2f4 & 

v 2 ,s t v 2 , 3 & v 2 , 4 (B y 2t e) • 
Puis on calcule le " OU-exclusif" des deux resuitats 
obtenus • 



20 Exemple 2 ; Une bijection <p quadratique 

On choisit pour <p une fonction quadratique secrete et 
bijective de 6 bits sur 6 bits. Le terme "quadra tigue" 
signifie ici que chaque bit de valeur de sortie de la 
fonction <p est donn6 par une fonction polynomiale de degr6 

25 deux des 6 bits d' entree, qui sont identifies & 6 616ments 
du corps fini F 2 . En pratique, on peut choisir la fonction 
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q> ctefinie par la formule <p (x) =t (s (x) 5 ) , ou s est une 
application lineaire secrete et bijective de (F 2 ) € sur L, t 
est une application lineaire secrete et bijective de L sur 
(F 2 ) 6 , et ou L d§signe une extension algebrique de degre 6 
5 du corps fini F 2 . Le ? caract^re bijectif de cette fonction 
<p resulte du fait que a a 5 est une bijection sur 

1' extension L (dont 1' inverse est b b 38 ) , Pour 6tablir 
que la condition n°2 est encore satisfaite, il suffit de 
. remarquer que l'on peut ecrire : 

10 

<p(vx& v 2 ) « y/(vi, vi7 @ v(v lt v 2 ) Q y/(v 2 , vi) & y(v 2 , v 2 ) 
ou la fonction y/ est definie par : if/(x, y) =t (s (x) 4 - s (y) ) • 

15 Par exemple, si on identifie L a F 2 [XJ / (X^+X+l) , et si on 
prend s et t de matrices respectives 
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20 par rapport & la base (1, X, X 2 , X 3 , X 4 , X 5 ) de L sur F 2 et 
& la base canonique de (F 2 ) 6 sur F 2 , on obtient la 
bijection quadratique <p de 6 bits sur 6 bits suivante : 

<P(Ui , U 2 , U 3 j U 4 , U 5 - / U6) = 

25 (u 2 u 5 ® uxu 4 ® u A (B u 6 (B u s u 2 69 u 4 u 6 69 u 2 (B u 5 0 u 3 <B u 4 u 3 , 
u 2 u 5 & U5V1 @ V1U4 @ u 4 ® u 6 & U4U5 (B u 2 @ u 3 (B UjUi , 
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u 2 u 5 <B U5U1 <B UsU 3 <B U1U4 @ U3U5 Q Uj & u 4 u 6 (B u 6 u 3 @ u 4 u 3 (B 

U1U4 (B U2U3 <B u 6 Ui & u 4 u 6 @ u$ (B u 6 u 3 B u 4 u 3 , 

U5U1 © Uiu 4 (B u 6 @ u 3 u 5 ® U4U5 @ Ux (B u 6 u lt & u 4 u 6 & u 3 Q u 6 u 3 

0 U4U2 / 

U4 & u 6 ® u 3 u 5 & ui B U4U0 @ u 6 u 3 ) . 

Pour calculer <p(v x (B u v 2 ) , on utilise la fonction y/(x, 
y)=t(s(x) 4 - s (y) ) de 12 bits sur 6 bits, qui donne les 6 
bits de sortie en fonction des 12 bits d' entree selon les 
regies suivantes : 

y/(x t , x 2 , xj , X4 , -x 5 / x * f yi * ys r y3 i y< , ys * ye)** 

(x 3 y 5 Q x 6 y 2 @ x 6 y 3 ® x 6 y 4 @ x 3 y L @ x 6 yi @ x x y 3 @ Xiy 5 @ x 5 y 2 
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En utilisant ces formules, on calcule successivement : 
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• v 2 ) ; 

• V(Vz, v 2 ) . 

5 Puis on calcule le " OU-exclusif" des quatre rfesultats 
obtenus • 

Variante n°3 : 

Tou jours pour reduire la taille ROM necessaire pour 
10 stocker les boites S, on peut enfin appliquer 
simultanement les idees des deux variantes precedentes, 
Variante n°l et Variante n°2 : on utilise la Variante 2, 
avec la meme bijection secrete <p (de 6 bits vers 6 bits) 
et la meme fonction aleatoire secrete A (de 6 bits vers 6 
15 bits) dans la nouvelle implementation de chaque 
transformation non-lineaire donnee sous la forme d' une 
bolte-S. 

Variante n°4 : 

20 Dans cette derniere variante, au lieu de mettre en oeuvre 
la transformation tv' x , v' 2 )=S' (v x , v 2 ) , an moyen de deux 
boites qui remplace la transformation non-lineaire 

v'=S(v) de la mise en oeuvre initiale, qui etait donn6e 
sous la forme d'une boite-S, on effectue le calcul de V 2 

25 respectivement v' 2 au moyen d'une fonction algebrique 
simple, pour laquelle les bits de v' 2 respectivement v' 2 
sont donnes par une fonction polynomiale de degre total 1 
ou 2 des bits de v a et v 2f puis on calcule v' 2 
respectivement v'j au moyen d'une table* Cela permet 

30 encore de reduire la taille de la memoire ROM necessaire 
pour l f execution materielle. 
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Ainsi que represents en figure 3e, dans le cas 
d'une 6tape de calcul du type transformation non lin6aire 
mise en oeuvre par un processus de calcul cryptographique 
classique, tel que le DES, outre la division en k parties 
5 Vi & v k d'une variable intermSdiaire jouant le rdle 
d' entree E, les transformations non lineaires consistent 
pour le processus classique, de merae que dans le cas des 
figures 3b et 3d, en une transformation non lin6aire de m 
bits sur n bits, decrite par des tables de conversion dans 

10 lesquelles les n bits de sortie de la transformation sont 
lus a une adresse fonction des m bits d f entree, selon le 
proc^de objet de l 1 invention, on remplace chaque 
transformation non linaire appliquee a une variable 
intermediaire du processus de calcul cryptographique 

15 classique, en 1 'absence de division, par une 
transformation non lineaire partielle de km bits sur kn 
bits appliquee sur 1' ensemble des variables interm6diaires 
partielles vi a v k * Dans ce cas, et en reference a la 
Variante n°4 de l f exemple 2 precite, (k-l)n bits de sortie 

20 de cette transformation sont calcules comme une fonction 
- polynomiale des km bits d 1 entree des variables v x , v 2 ... v k 
selon les relations : 

v f x = Pi (vi, v 2 , ... v k ) 

25 

V' k -1 = P k -i (V X/ V 2 , ... V k ) , 

relations dans lesquelles Pi a P k _i designent des fonctions 
30 polynomiales de m bits sur n bits. 

Les n bits restants v* k de la variable de sortie sont 
alors obtenus, par exemple, par la lecture d'une table de 
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conversion non lineaire dans laquelle ces n bits sont lus 
& une adresse qui est fonction des km bits d' entree. 
Dans la Variante n°4 de l'exemple precite, on rappelle que 
k=2, m=6 et n=4 . 

5 

Deuxi£me exemple : le Triple-DES 

Le Triple-DES consiste a effectuer sequentiellement des 
operations de chiffrement/dechiff rement a partir de deux 
10 cles secretes. 

Pour une description de 1' algorithme Triple-DES, on pourra 
utilement se reporter a l f un des documents' suivants : 

• ISO/IEC 8732:1987, Banking - Key Management (Wholesale); 

• ANSI X9.17, American National Standard, Financial 
15 Institution Key Management (Wholesale), 1985. 

ou encore dans l'ouvrage suivant : 

• Bruce Schneier, Applied Cryptography, 2 6me edition, John 
Wiley & Sons, 1996, page 358, 

lesquels sont introduits dans la presente demande a titre 

20 de reference. 

Le principe consiste a utiliser le DES trois fois 
de suite pour chiffrer un message : on commence par 
effectuer un DES en mode chiffrement avec la cle n°l, puis 
un DES en mode dechiff rement avec la cl6 n°2, et enfin un 

25 DES en mode chiffrement a nouveau avec la cle n°l. 
I/attaque de type DPA est possible de la meme maniere que 
pour le DES : grace aux mesures de consommation effectuees 
sur le premier tour du premier DES, on trouve 48 bits de 
la cle n°l, puis en considerant le deuxi^me tour, on 

30 trouve les 8 bits restants de la cle n°l. Connaissant la 
cl§ n°l, on connait alors les entries du deuxidme DES, et 
on peut appliquer la m§me attaque pour trouver la cl6 n°2. 
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La securisation de 1 ' algorithme peut s'op6rer 
exactement comme dans le cas du simple DES decrit dans le 
premier exemple ci-dessus : on utilise la meme fonction f 
pour effectuer la "division" des variables intermediates, 
5 et les memes transformations de 1' algorithme . 

Troisieme exemple : le RSA 

Le RSA est le plus celebre des algorithmes 
10 cryptographiques asymetriques . II a ete developpe par 
Rivest, Shamir et Adleman en 1978. Pour une description 
plus detaillee de cet algorithme, on pourra utilement se 
reporter aux documents ci-apr6s : 

• R.L. Rivest, A. Shamir, L.M. Adleman, A Method for 
15 Obtaining Digital Signatures and Public-Key 

Cryptosystems, Communications of the ACM, 21, n°2, 
1978, pp. 120-126, 
ou dans les documents suivants : 

• ISO/IEC 9594-8/ITU-T X.509, Information Technology - 
20 Open Systems Interconnection - The Directory: 

Authentication Framework; 

• ANSI X9.31-1, American National Standard, Public-Key 
Cryptography Using Reversible Algorithms for the 
Financial Services Industry, 1993; 

25 • PKCS #1, RSA Encryption Standard, version 2, 1998, 
disponible ci l'adresse suivante : 
ftp: //ftp. rsa.com/pub/pkcs/doc/pkcs-lv2 • doc. , 
ces documents ou leur edition a titre de page HTML etant 
introduits dans la presente description a titre de 
30 reference. 

L' algorithme RSA utilise un nombre entier n qui 
est le produit de deux grands nombres premiers p et g, et 
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un nombre entier e, premier avec ppcm(p-l ,q~l) , et tel que 
e * ± 1 mod ppcm(p-l ,q-l) . Les entiers n et e constituent 
la cle publique. Le calcul en cle publique fait appel a la 
fonction g de Z/nZ dans Z/nZ definie par g(x)=>x e mod n. Le 
5 calcul en cle secrete fait appel a la fonction g' 1 (y)=y d 
mod n, oil d est l'exposant secret (appel§ aussi cl6 
secrete, ou privee) d<efini par ed s 1 mod ppcm (p-1 ,q-l) - 

Les attaques de type DPA ou HO-DPA font egalement 
peser une menace sur les mises en ceuvre classiques de 

10 l'algorithme RSA. En effet , celles-ci utilisent tr6s 
souvent le principe dit de square and multiply en langage 
anglo-saxon pour effectuer le calcul de x d mod n. 
Ce principe consiste a ecrire la decomposition d — d m -v2*~ l 
+ dn-r?*' 2 + + dv2 l + d 0 '2° de l'exposant secret d en 

15 base 2, puis d' effectuer le calcul de la mani^re 
suivante : 
l.z <- 1 ; 

pour i allant de m-1 jusqu'a 0 faire : 
2 • z <- z 2 mod n ; 

20 3. si di = 1 alors z z x x mod n. 

Dans ce calcul, on constate que parmi les valeurs 
successives prises par la variable z, les premieres ne 
dependent que de quelques bits de la cle secrete d, 

25 L'hypothese fondamentale permettant l'attaque DPA est done 
realisee. On peut ainsi deviner par exemple les 10 bits de 
poids fort de d en s' interessant aux mesures de 
consommation sur la partie de l f algorithme correspondant & 
i allant de m-1 a m-10. On peut ensuite continuer 

30 l'attaque en utilisant les mesures de consommation sur la 
partie de l'algorithme correspondant a i allant de m-11 k 
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m-20, ce qui permet de trouver les 10 bits suivants de d, 
et ainsi de suite. On trouve finalement tous les bits de 
l'exposant secret d. 

Le proc6d6 objet de la presente invention 
5 s' applique 6galement & la s6curisatibn de l'algorithme 
RSA. On utilise une division de chaque variable v 
interm§diaire, k valeurs dans le groupe multiplicatif de 
Z/nZ, c'est-&-dire dans 1' ensemble des entiers modulo n 
qui possedent un inverse, 6galement modulo n, qui 

10 interviennent dans le cours du calcul et qui dependent des 
donnees d r entree ou de sortie, en deux variables v 2 et \r 2 . 
On prend k=2 et on prend la fonction f(v 2 , \r 2 ) = v = v 2 • v 2 
mod n. On a deja montre precedemment dans la description, 
confer exemple n°2 "Securisation de l'algorithme", que 

15 cette fonction f permet de satisfaire la condition n°l. 

On remplace done x par (x lr x 2 ) tel que x « x 2 • x 2 
mod n et z par (z if z 2 ) tel que z = z 2 • z 2 mod n . En 
pratique, on peut par exemple choisir x 2 al6atoirement et 
en deduire x 2 . En reprenant maintenant les trois etapes de 

20 la methode "square and multiply" , on effectue les 
transformations suivantes : 

1. « z <— 1 » est remplace par « zj <— 1 et z 2 <- 1 »; 

2. « z <- z 2 mod n » est remplace par « z 2 <~ z x 2 mod n et 
z 2 <— z 2 mod n » ; 

25 3.« z <— z x x mod n » est remplace par . « z 2 <— z 2 x x 2 
mod n et z 2 z 2 x x 2 mod n ». 

II est facile de verifier que la relation z^f(z lf 
z 2 ) reste vraie tout au long du calcul, ce qui montre que 
la condition n°2 est satisfaite. 
30 On remarquera que les calculs effectu£s 

respectivement sur la variable z 2 et sur la variable z 2 
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sont complStement independants . On peut done prevoir 
d' ex§cuter les deux calculs : 

• soit sequentiellement ; 

• soit de f agon imbriquee ; 

• soit de f agon simultanee dans le cas de la 
multiprogrammation ; 

• soit encore simultanement dans des processeurs 
differents travaillant en parallele. 
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RE VE ND I CAT I ONS 

1. Proc6de de s6curisation d'un ensemble 
61ectronique mettant en oeuvre un processus de calcul 
cryptographique classique qui utilise une cie secrete, 
caract6ris6 en ce que : 

a) 1'on divise le processus de calcul cryptographique 
classique en plusieurs parties de processus de calcul 
distinctes conduites parallelement et mettant en oeuvre 
des resultats partiels intermediaires distincts de ceux 
du calcul cryptographique classique ; 

b) on reconstitue la valeur finale obtenue par le calcul 
cryptographique classique en 1' absence de division, a 
partir desdits resultats partiels intermediaires 
distincts . 

2. Proc6de selon la revendication 1, caract6ris§ 
en ce que chaque variable ou resultat (v) intermediaire 
dependant des donn6es d' entree ou de sortie mises en oeuvre 
par le processus de calcul cryptographique classique est 
remplac6 par un nombre determine k de variables 
intermediaires partielles (v lr v k ) , les variables 
intermediaire (v) et intermediaires partielles (v 2 a v k ) 
etant li6es par une fonction f, v=f (\r lf v 2r ~ f Vk) 
permettant la reconstitution de ladite variable 
intermediaire (v) . 

3. Proc6de selon la revendication 2, caract§rise 
en ce que ladite fonction f, liant les variables 
intermediaires partielles et ladite variable intermediaire 
(v) , est telle que la connaissance d'une valeur de cette 
variable intermediaire ne permet jamais de d6duire 
l f ensemble des valeurs particulieres partielles Vi telles 
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qu'il existe un (k-1) -uplet (v lf Vi-j, Vi+ 2 , ... v k ) 

satisfaisant & 1 1 equation f(v ir v ir vj = v\ 

4. Precede selon la revendication 3/ caracteris6 
en ce que ladite fonction est la fonction "OU-exclusif" 
bit & bit, lesdites variable interm6diaire (v) et 
variables intermediates partielles (v lf v ir v k ) 
v6rifiant la relation : 

f(V X , V if V k ) = V 2 0 V 2 @, ... 0 Vi ® v k . 

5. Proc6de selon la revendication 3, caract6ris§ 
en ce que pour une variable intermediaire (v) a valeurs 
dans le groupe multiplicatif Z/nZ defini par 1' ensemble 
des entiers modulo n, ladite fonction est la fonction 
produit modulo n, f (vi f ... f v k ) =Vj . v 2 .„v k modulo n, dans 
laquelle lesdites variables interm^diaires partielles sont 
des variables a valeurs dans ledit groupe multiplicatif de 
Z/nZ. 

6. Proc6de selon la revendication 3, caract6rise 
en ce que, ladite fonction f liant les variables 
interm6diaires partielles et ladite variable interm§diaire 
(v), les parties de processus de calcul distinctes 
conduites parallelement sont ind6pendantes, lesdites 
parties de processus de calcul distinctes conduites 
parallelement 6tant conduites en 1 1 absence de 
reconstitution de ladite variable interm6diaire (v) 
dependant des donnees d 1 entree ou de sortie mise en ceuvre 
par ledit processus de calcul cryptographique classique. 

7. Procede selon la revendication 1, caract6ris6 
en ce que ladite division est effectu6e en deux parties 
distinctes conduites parallelement. 
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8. Proc6de selon la. revendication 1, caract§ris§ 
en ce que ladite division est effective en k parties, et 
en ce que, pour un processus de calcul cryptographique 
classique utilisant des transformations non lin6aires de m 

5 bits sur n bits d6crites par des tables de conversion dans 
lesquelles les n bits de sortie de la transformation sont 
lus & une adresse fonction des m bits d'entr§e, on 
remplace chaque transformation non lineaire appliqu^e & 
une variable intermediaire du processus de calcul 

10 cryptographique classique, en 1' absence de division, par 
une transformation non lineaire partielle de Jem bits sur 
kn bits appliquee a 1 1 ensemble des variables 
interm§diaires partielles, cette transformation non 
lineaire partielle etant decrite par k tables de 

15 conversion partielle dans lesquelles les n bits de sortie 
de la transformation sont lus a une adresse fonction des 
km bits d' entree. 

9. Proc6de selon la revendication 8, caractferise 
en ce que parmi les k tables de conversion partielle k-1 

20 tables de conversion partielle contiennent des variables 
al§atoires secretes . 

10. Procede selon la revendication 8, caract6rise 
en ce que parmi les k tables de conversion partielle, 
utilisees pour remplacer chaque table de conversion non 

25 lineaire, on utilise a chaque fois les memes k-1 tables 
aleatoires secretes. 

11. Proced§ selon la revendication 1/ caract6ris6 
en ce que ladite division est effectuee en k parties, et 
en ce que, pour un processus de calcul cryptographique 

30 classique utilisant des transformations non lineaires de jn 
bits sur n bits decrites par des tables de conversion dans 
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lesquelles les n bits de sortie de la transformation sont 
lus a une adresse fonction des m bits d' entree, on 
remplace chaque transformation non lineaire appliquee & 
une variable interm6diaire du processus de calcul 
5 cryptographique classique, en l 1 absence de division, par 
une transformation non lineaire partielle de km bits sur 
kn bits appliquee sur l 1 ensemble des variables 
interm6diaires partielles, (k-l)n desdits bits de sortie 
de cette transformation etant calcules comme fonction 
10 polynomiale des km bits d' entree et les n bits restants 
desdits bits de sortie etant obtenus par lecture d'une 
table de conversion dans laquelle les n bits restants sont 
lus cl une adresse qui est fonction des km bits d' entree. 

12. Procede selon la revendication 2, caracterise 

15 en ce que ladite division est effectuee en k parties, et 
en ce que, pour un processus de calcul cryptographique 
classique utilisant des transformations non lineaires de m 
bits sur n bits decrites par des tables de conversion dans 
lesquelles les n bits de sortie de la transformation sont 

20 lus a une adresse - fonction des m bits d' entree, on 
remplace chaque transformation non lineaire appliquee & 
une variable intermediaire du processus de calcul 
cryptographique classique, en 1' absence de division, par 
une transformation non lineaire partielle de km bits sur 

25 kn bits appliquee sur l f ensemble des variables 
intermediaires partielles, cette transf ormation non 
lineaire partielle etant decrite par k tables de 
conversion, chacune de ces tables de conversion recevant 
comme entr6e une valeur obtenue par application d'une 

30 fonction bijective secrete cpi a ladite fonction f(v 1/ .„, v k ) 
des variables intermediaires partielles selon la relation 
(pj o f(v w ...,v k ), j e [l,k], cette application q> 3 o f(v w ..., 
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v k ) etant effectuee par evaluation directe d'une valeur 
r6sultante, cette valeur r^sultante, appliquee k 1 1 entree 
de la table de conversion, permettant de lire n bits de 
sortie de la transformation a une adresse qui est fonction 
5 de ces m bits d 1 entree. 

13. Precede selon la revendication 12, caracteris§ 
en ce que, parmi les k tables de conversion partielle, k-1 
tables de conversion partielle contiennent des valeurs 
al6atoires secretes . 

10 14. Procede selon la revendication 12, caracteris§ 

en ce que, parmi les k tables de conversion partielle 
utilisees pour remplacer chaque table de transformation 
non lineaire, on utilise & chaque fois les memes k-1 
tables de conversion aleatoires secretes. 

15 15. Procede selon la revendication 1, caracterise 

en ce que les operations effectuees dans les differentes 
parties issues de la division du processus de calcul 
cryptographique en plusieurs parties de processus de 
calcul distinctes sont executees sequentiellement . 

20 16. Procede selon la revendication 1, caract6ris6 

en ce que les operations effectuees dans les differentes 
parties issues de la division du processus de calcul 
cryptographique en plusieurs parties de processus de 
calcul distinctes sont executees de fagon imbriquee. 

25 17. Precede selon la revendication 1, caracteris6 

en ce que les operations effectuees dans les differentes 
parties issues de la division du processus de calcul 
cryptographique en plusieurs parties de processus de 
calcul distinctes sont executees de fagon simultan6e dans 

30 le cas de la multiprogrammation. 
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18. Procede selon la revendication 1, caract6ris6 
en ce que les operations effectuees dans les diff6rentes 
parties issues de la division du processus de calcul 
cryptographique en plusieurs parties de processus de 

5 calcul distinctes sont execut&es simultanement dans des 
processeurs diff6rents travaillant en parall^le. 

19. Utilisation du procede selon la revendication 
1 dans une carte a microcalculateur . 

20. Utilisation du procede selon la revendication 
10 1 pour la securisation de processus de calcul 

cryptographique supports par les algorithmes DES, Triple 
DES, RSA. 
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